torsdag 18 juni 2026
The Global Scout

BY-THE-MINUTE INTELLIGENCE

← TILLBAKA

nyheter·AI-REDIGERAD

Allvarlig sårbarhet i Microsoft 365 Copilot åtgärdad

Säkerhetsforskare upptäckte en sårbarhetskedja, benämnd SearchLeak, i Microsoft 365 Copilot som kunde leda till dataexfiltrering via en enstaka klickning på en Microsoft-länk. Microsoft har sedan åtgärdat felet.

Publicerad 18 juni 2026 kl. 19:20·Uppdaterad 18 juni 2026 kl. 19:45·3 källor
AIAI-genererad sammanfattning. The Global Scout bedriver inte egen originalrapportering — texten är en AI-syntes av tredjepartskällor och kan innehålla fel. Läs alltid originalkällorna nedan för full kontext.
Allvarlig sårbarhet i Microsoft 365 Copilot åtgärdad – redaktionell illustration
AIAI-genererad illustration

Allvarlig sårbarhet upptäckt i Microsoft 365 Copilot

Säkerhetsforskare från Varonis Threat Labs har upptäckt och rapporterat en kritisk sårbarhetskedja i Microsoft 365 Copilots företagsökfunktion, som även kallas SearchLeak. Sårbarheten tillät angripare att exfiltrera känslig information, såsom mejl, kalenderposter och indexerade filer, genom en enda klickning på en specialkonstruerad länk på en legitim `microsoft.com`-domän. Denna metod gjorde att traditionella anti-phishing- och URL-blockeringssystem inte kunde upptäcka attacken.

Så fungerade attacken – SearchLeak

SearchLeak-attacken utnyttjade en kedja av tre svagheter. Enligt VentureBeat matades angriparens instruktioner in direkt i Copilots stora språkmodell (LLM) via en "q"-parameter i URL:en. En "rendering race condition" i systemet utförde dessutom en bildtagg innan utdata kunde saneras, och Bings bildsökning, som var tillåten i Content Security Policy, användes för att dirigera ut den stulna informationen. Attacken krävde inga insticksmoduler, inget andra klick och lämnade inga synliga spår för offret (VentureBeat).

Påverkade data och åtgärder

Med denna metod kunde angripare potentiellt stjäla data från inkorgar, OneDrive och SharePoint (TechRadar). Microsoft har erkänt och åtgärdat sårbarheten på serversidan. Varonis rapporterar att Microsoft bedömde felet som kritiskt (VentureBeat).

Liknande incidenter och säkerhetsimplikationer

Detta är inte den enda allvarliga sårbarheten som nyligen upptäckts i AI-verktyg. VentureBeat rapporterar att under samma period upptäcktes en liknande sårbarhetskedja i LiteLLM, som kunde eskalera privilegier från en användare med låga behörigheter till administratörsrättigheter och möjliggöra fjärrkörning av kod. Båda incidenterna understryker ett mönster där företags-AI accepterar extern indata utan tillräckliga säkerhetsgränser. NVD har ännu inte poängsatt sårbarheten, men en tredjepartsspårare listade den som 6.5 (medium), vilket indikerar att svårighetsgraden kan vara omdiskuterad men mekanismen är bekräftad (VentureBeat).

Organisationer uppmanas att omedelbart se till att deras system är uppdaterade för att skydda sig mot liknande hot.

Detta vet vi

  • Varonis Threat Labs upptäckte en sårbarhetskedja i Microsoft 365 Copilot.
  • Sårbarheten, kallad SearchLeak, möjliggjorde dataexfiltrering via en enstaka klickning på en nätfiskelänk.
  • Data som kunde stjälas inkluderade mejl, kalenderposter och indexerade filer från inkorgar, OneDrive och SharePoint.
  • Attacken utnyttjade en kedja av tre svagheter, inklusive en "rendering race condition" och Bings bildsökning för dataexfiltrering.
  • Microsoft har erkänt sårbarheten och åtgärdat den på serversidan.
  • Den specialkonstruerade länken använde en legitim microsoft.com-domän.
  • Sårbarheten behövde inga plugins eller ytterligare klick.
  • Sårbarheten är listad som CVE-2026-42824.

Detta är fortfarande oklart

  • Sårbarhetens exakta poängsättning och bedömning av National Vulnerability Database (NVD) är fortfarande oklar.

Påståenden & källor

  • T
    The Next WebTILLIT 70
    • Säkerhetsforskare från Varonis Threat Labs har upptäckt och rapporterat en kritisk sårbarhetskedja i Microsoft 365 Copilots företagsökfunktion, som även kallas SearchLeak.
    • Sårbarheten tillät angripare att exfiltrera känslig information, såsom mejl, kalenderposter och indexerade filer, genom en enda klickning på en specialkonstruerad länk på en legitim `microsoft.com`-domän.
  • V
    VentureBeatTILLIT 70
    • Attacken utnyttjade en kedja av tre svagheter. Enligt VentureBeat matades angriparens instruktioner in direkt i Copilots stora språkmodell (LLM) via en 'q'-parameter i URL:en. En 'rendering race condition' i systemet utförde dessutom en bildtagg innan utdata kunde saneras, och Bings bildsökning, som var tillåten i Content Security Policy, användes för att dirigera ut den stulna informationen.
    • Microsoft har erkänt och åtgärdat sårbarheten på serversidan. Varonis rapporterar att Microsoft bedömde felet som kritiskt (VentureBeat).
  • T
    TechRadarTILLIT 70

    Med denna metod kunde angripare potentiellt stjäla data från inkorgar, OneDrive och SharePoint (TechRadar).

DelaXBluesky